Grupo Kimsuky lança campanha global de spear phishing

Da Redação
07/05/2023

O grupo de ameaça persistente avançada (APT) patrocinado pelo governo norte-coreano conhecido como Kimsuky foi observado usando um novo componente de malware chamado ReconShark.

De acordo com um comunicado publicado pelos pesquisadores de segurança da SentinelOne na quinta-feira, 4, o ReconShark é distribuído por meio de e-mails de spear phishing direcionados, que contêm links do OneDrive que levam ao download de documentos e à ativação de macros prejudiciais.

“Os e-mails de spear phishing são feitos com um nível de qualidade de design moldado para indivíduos específicos,  o que aumenta a probabilidade de abertura da mensagem pela vítima. Isso inclui formatação adequada, gramática e pistas visuais, parecendo legítimas”, explicam Tom Hegel e Aleksandar Milenkoski, da SentinelOne.

“Notadamente, os e-mails direcionados, que contêm links para baixar documentos maliciosos, e os próprios documentos maliciosos, usam nomes de pessoas reais, cuja experiência é relevante para o assunto de atração, como cientistas políticos”, completam eles.

As macros do Microsoft Office são acionadas quando um documento é fechado e executam uma versão mais avançada da função de reconhecimento encontrada no malware BabyShark de Kimsuky.

“A capacidade do ReconShark de exfiltrar informações valiosas, como mecanismos de detecção implantados e informações de hardware, indica que o ReconShark faz parte de uma operação de reconhecimento orquestrada pelo Kimsuky que permite ataques de precisão subsequentes, possivelmente envolvendo malware especificamente adaptado para escapar das defesas e explorar os pontos fracos da plataforma, ” diz o comunicado.

O ReconShark, ao contrário das variantes anteriores, não salva as informações coletadas no sistema de arquivos. Em vez disso, o malware mantém os dados em variáveis de string e os envia para um servidor de comando e controle (C&C) por meio de solicitações HTTP Post. O ReconShark também pode instalar cargas adicionais, como scripts ou arquivos DLL

(Dynamic-link library, ou biblioteca de vínculo dinâmico), com base nos processos do mecanismo de detecção encontrados nas máquinas infectadas.

Hegel e Milenkoski explicaram ainda que as recentes campanhas do grupo se concentraram em questões globais e atingiram públicos-alvo em todo o mundo. “Por exemplo, as últimas campanhas de Kimsuky focaram em agendas nucleares entre a China e a Coreia do Norte, relevantes para a guerra em curso entre a Rússia e a Ucrânia”, diz o artigo técnico.

Veja isso
Grupo Killnet aparentemente está se reorganizando novamente
Gangue do ransomware SolidBit recruta afiliados na dark web

A equipe da SentinelOne notou recentemente uma campanha direcionada aos funcionários do Korea Risk Group (KRG). A KRG é uma empresa especializada na análise de assuntos que tenham impacto direto ou indireto na República Popular Democrática da Coreia (RPDC).

“Nossa avaliação é que a mesma campanha foi usada para continuar visando outras organizações e indivíduos pelo menos nos Estados Unidos, Europa e Ásia, incluindo think tanks, universidades de pesquisa e entidades governamentais”, alertaram Hegel e Milenkoski.

O comunicado SentinelOne vem semanas depois de a Mandiant ter revelado um novo grupo APT norte-coreano possivelmente associado ao Kimsuky.

Compartilhar: